CVE-2024-24747:MINIO权限提升漏洞
CVE-2024-24747:MINIO权限提升漏洞 原创 Limerence Timeline Sec 2024-04-10 19:00 关注我们❤️,添加星标🌟,一起学安全!作者:Limerence@Timeline Sec 本文字数:1587阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 MinIO 是一种高性能、Amason的S3分布式对象存
继续阅读标签: 代码
2024-04微软漏洞通告
2024-04微软漏洞通告 火绒安全 火绒安全 2024-04-10 18:36 微软官方发布了2024年04月的安全更新。本月更新公布了157个漏洞,包含67个远程执行代码漏洞、31个特权提升漏洞、29个安全功能绕过漏洞、13个信息泄露漏洞、7个拒绝服务漏洞、5个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),145个为“Important”(严重)。建议用户及时使用火绒安全软件(
继续阅读Microsoft 4 月 CVE 漏洞预警
Microsoft 4 月 CVE 漏洞预警 网新安服 2024-04-10 18:30 点击上方蓝字关注我们,获取最新消息 1 基本情况 4 月份,Microsoft 发布了 149 个漏洞补丁,解决了 Microsoft Windows 和 Windows 组件、Office 和 Office组件、 Azure、.NET 框架 和 Visual Studio、 SQL Server、DNS S
继续阅读预算超2亿元,这家经纪公司扩大零日漏洞收购规模
预算超2亿元,这家经纪公司扩大零日漏洞收购规模 安全内参编译 安全内参 2024-04-10 18:21 关注我们 带你读懂网络安全 iPhone零日漏洞报价最高700万美元,安卓手机零日漏洞报价500万美元, Chrome和Safari零日漏洞报价超300万美元。 前情回顾·零日漏洞市场 – 2023年零日漏洞在野利用激增,商业间谍软件是主要使用者 单个漏洞利用链最高近1.5亿元!零
继续阅读Jasmin勒索软件Web面板路径遍历PoC
Jasmin勒索软件Web面板路径遍历PoC Ots安全 2024-04-10 18:11 Jasmin勒索软件Web面板路径遍历PoC EducationalPurposes https://github.com/codesiddhant/Jasmin-Ransomware 我在 Jasmin Ransomware Web 面板 (CVE-2024-30851) 中发现了一个预身份验证路径遍历漏
继续阅读Rust一个满分漏洞可能允许Windows命令注入攻击
Rust一个满分漏洞可能允许Windows命令注入攻击 看雪学苑 看雪学苑 2024-04-10 18:00 4月9日,Rust安全响应工作组收到通知,Rust标准库在使用Command API在Windows上调用批处理文件(bat和cmd扩展名)时,未能正确转义参数。攻击者能够控制传递给生成进程的参数,通过绕过转义来执行任意shell命令。 该漏洞(CVE-2024-24576,CVSS评分为
继续阅读漏洞预警 龙卷风科技 cms 存在文件读取漏洞
漏洞预警 龙卷风科技 cms 存在文件读取漏洞 by 融云安全-sm 融云攻防实验室 2024-04-10 17:19 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文
继续阅读注意 | 声称最安全的编程语言Rust存在严重漏洞,可导致 Windows 命令注入攻击
注意 | 声称最安全的编程语言Rust存在严重漏洞,可导致 Windows 命令注入攻击 安全客 2024-04-10 16:47 威胁行为者可以利用 Rust 标准库中的漏洞通过命令注入攻击 Windows 系统。该漏洞被追踪为CVE-2024-24576,是由于操作系统命令和参数注入中的弱点造成的,这可能允许攻击者在操作系统上执行意外且潜在的恶意命令。 GitHub 已将此漏洞评为CVSS得分
继续阅读Rust 严重漏洞可导致 Windows 命令注入攻击
Rust 严重漏洞可导致 Windows 命令注入攻击 Sergiu Gatlan 代码卫士 2024-04-10 15:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 攻击者可利用 Rust 标准库中的一个漏洞,攻击 Windows 系统,发动命令注入攻击。 该漏洞的编号是CVE-2024-24576,是由OS命令和参数注入弱点引发的,可导致攻击者在操作系统上执行异常以及潜在的恶意代
继续阅读微软4月补丁星期二值得关注的漏洞:4个0day及更多
微软4月补丁星期二值得关注的漏洞:4个0day及更多 综合编译 代码卫士 2024-04-10 15:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月微软共发布147个CVE漏洞,加上本月所提到的第三方CVE,总数达到了155个。这些漏洞中并不包含Pwn2Own 温哥华大赛中发布的漏洞。 在这些漏洞中,仅有3个被评级为“严重”,142个是“重要”级别,2个是“中危”级别。这是微软今
继续阅读Windows DWM 核心库信息泄露漏洞 (CVE-2024-26172) 复现分析
Windows DWM 核心库信息泄露漏洞 (CVE-2024-26172) 复现分析 原创 信创实验室 山石网科安全技术研究院 2024-04-10 12:21 漏洞描述 微软四月份补丁日发布了编号为CVE-2024-26172的windows dwm核心库信息泄露漏洞,由山石网科信创安全实验室报告,目前已修复完成,漏洞详细情况详如下: 漏洞名称 Windows DWM 核心库信息泄露漏洞 漏洞
继续阅读Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击
Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击 Deeba Ahmed 代码卫士 2024-04-09 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Wiz.io 发现,AI即服务(即 AI Cloud)平台如 Hugging Face 等易受严重风险,可导致攻击者提升权限、获得跨租户访问权限并可能接管CI/CD管道。 问题简述 AI
继续阅读Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用
Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用 Muchiri 代码卫士 2024-04-09 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 利用收购企业 Crowdfense 出价总计3000万美元,求购针对安卓、iOS、Chrome 和 Safari 的 0day 利用。 Crowdfense 公司成立于2017年,自称为针对高质量0day利用
继续阅读Ivanti Connect Secure IPSec组件堆越界写漏洞(CVE-2024-21894)安全风险通告
Ivanti Connect Secure IPSec组件堆越界写漏洞(CVE-2024-21894)安全风险通告 奇安信 CERT 2024-04-09 17:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Connect Secure IPSec组件堆越界写漏洞 漏洞编号 QVD-2024-12404,CVE-2024-21894 公开时间 2024-0
继续阅读五角大楼如何修复军方软件的漏洞?
五角大楼如何修复军方软件的漏洞? 网络安全应急技术国家工程中心 2024-04-09 14:59 美国军方使用的太多应用程序都是基于充满漏洞的代码构建,并且由五角大楼本身分发。可以肯定的是,软件增强军事行动能力的宣传听越来很诱人,但它也隐藏了太多危险的安全问题。 如果软件要更多地带来好处而不是带来负担,那么就必须发现并修复其不可避免的缺陷,然后才能被俄罗斯和其他外国对手利用。不幸的是,在对五角
继续阅读6款较流行的开源漏洞扫描工具推荐及特点分析
6款较流行的开源漏洞扫描工具推荐及特点分析 安全牛 2024-04-09 12:40 未修补的漏洞是网络犯罪分子最容易攻击的目标之一。 企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时发现并修补这些漏洞。 当组织想要开展全面且持续的漏洞扫描工作时,通常需要得到广泛的安全社区支持。在此过程中,安全人员可以借助一些的流行开源漏洞扫描工具。由
继续阅读CVE-2024-25869
CVE-2024-25869 原创 fgz AI与网安 2024-04-09 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 PHP会员管理系统-不受限制的文件上传到RCE漏洞 02 — 漏洞影响 Membership Manageme
继续阅读某oa命令执行漏洞挖掘思路
某oa命令执行漏洞挖掘思路 中铁13层打工人 Hacking黑白红 2024-04-08 23:53 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 0x01 历史漏洞分析 首先来看一个历史漏洞,Ognl表达式注入导
继续阅读D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273
D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273 南风徐来 南风漏洞复现文库 2024-04-08 23:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. D-Link NAS
继续阅读畅捷通TPlus App_Code.ashx存在远程命令执行漏洞
畅捷通TPlus App_Code.ashx存在远程命令执行漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-04-08 23:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 畅捷通TPlus App_Code.ashx简介 微
继续阅读【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720)
【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720) cexlife 飓风网络安全 2024-04-08 23:14 漏洞描述:Adobe Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,近日监测到威胁者正在利用AdobeMagentoOpenSource命令注
继续阅读【漏洞预警】pgAdmin远程代码执行漏洞(CVE-2024-3116)
【漏洞预警】pgAdmin远程代码执行漏洞(CVE-2024-3116) cexlife 飓风网络安全 2024-04-08 23:14 漏洞描述:pgAdmin是PostgreSQL的官方图形界面管理工具,以便于管理和维护PostgreSQL数据库,近日监测到pgAdmin中修复了一个远程代码执行漏洞CVE-2024-3116,其CVSS评分为7.4,目前该漏洞的细节及PoC已公开,pgAdmi
继续阅读上周关注度较高的产品安全漏洞(20240401-20240407)
上周关注度较高的产品安全漏洞(20240401-20240407) 原创 CNVD CNVD漏洞平台 2024-04-08 18:55 一、境外厂商产品 漏洞 1、Apache Fineract SQL注入漏洞(CNVD-2024-16106) Apache Fineract是美国阿帕奇(Apache)基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财
继续阅读技术分享|某办公系统代码执行漏洞分析及检测优化
技术分享|某办公系统代码执行漏洞分析及检测优化 Town GobySec 2024-04-08 17:37 G o b y 社 区 第 37 篇 技 术 分 享 文 章 全 文 共 : 5012 字 预 计 阅 读 时 间 : 13 分 钟 01 概述 最近国内某知名 OA 厂商出了一个远程代码执行漏洞,漏洞的产生原因是系统在处理上传的 Phar 文件的时候存在缺陷,导致攻击者能够上传经过伪装之后
继续阅读产品中又现4个漏洞,Ivanti 宣布安全大检修
产品中又现4个漏洞,Ivanti 宣布安全大检修 Jai Vijayan 代码卫士 2024-04-08 17:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司的首席执行官 Jeff Abbott 上周表示,公司将改变安全实践,即使目前在本已漏洞密布的 Ivanti Connect Secure 和 Policy Secure 远程访问产品中又发现其它一些漏洞。 Ab
继续阅读中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish
中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish 原创 兰陵猪猪哼 小黑子安全 2024-04-08 07:54 服务攻防测试流程: 使用 vulfocus 靶场: 案例演示: 中间件-Weblogic-工具 梭哈 探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器 使用 vulfocus 靶场复现漏洞 漏洞:weblogic-cve_2
继续阅读实战 | 记一次某报表系统漏洞挖掘
实战 | 记一次某报表系统漏洞挖掘 原创 Xxia0hei04 小黑说安全 2024-04-08 00:03 0x01 前言 这是近期朋友发过来的一个站, 快 速帮忙 过了一遍,内容比较简单。 0x02 分析与利用 访问网站提示以下信息。 搜索关键字获取到代码。 拿到项目简单过了一遍,跑了一遍。 其实这里多个接口都能玩,这里就先看一个InputServlet吧,运行脚本发现在raqsoftRepo
继续阅读实战 | 教育SRC漏洞挖掘获取rank以及证书获取
实战 | 教育SRC漏洞挖掘获取rank以及证书获取 天启互联网实验室 2024-04-07 20:23 在2023年3月份的时候写了一篇【教育src漏洞挖掘获取rank以及证书获取 】的文章, 主要是说了如何进行漏洞挖掘获取足够多的积分,时隔一年,这次说说怎么快速获取证书站的漏洞! 守株待兔法 将有证书学校的站点的重要资产先收集起来,等到别人发1day或者未公开的day时,可以在收集的资产中进行
继续阅读【成功复现】Telesquare TLR-2005KSH路由器远程命令执行漏洞(CVE-2024-29269)
【成功复现】Telesquare TLR-2005KSH路由器远程命令执行漏洞(CVE-2024-29269) 原创 弥天安全实验室 弥天安全实验室 2024-04-07 18:17 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Telesquare Tlr-2005Ksh是韩国Telesquare公司的
继续阅读思科提醒注意Small Business路由器中的XSS漏洞
思科提醒注意Small Business路由器中的XSS漏洞 代码卫士 2024-04-07 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。 该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042
继续阅读